Kuzey Kore, İş Arayanlar Cihazına Saldırmak İçin İşe Alım Uzmanı Gibi Davranıyor


Kuzey Koreli Hackerlar Birden Fazla Kötü Amaçlı Yazılım Dağıtmak İçin İş Arayanlara Saldırıyor

Bilgisayar korsanları iş arayanları öncelikli olarak mali kazanç sağlamak ve hassas kişisel bilgileri elde etmek amacıyla hedef alır.

İş arayanların çoğu, iş bulma hevesleri nedeniyle savunmasız durumda ve bu da onları kimlik avı dolandırıcılıklarına ve sahte iş ilanlarına maruz bırakıyor.

Hizmet Olarak SIEM

Palo Alto Networks’teki siber güvenlik analistleri yakın zamanda Kuzey Koreli bilgisayar korsanlarının birden fazla kötü amaçlı yazılım dağıtmak için iş arayanlara aktif olarak saldırdığını keşfetti.

Kuzey Kore Bilgisayar korsanları İşveren olarak poz vermek

Araştırmacılar, Kuzey Koreli bilgisayar korsanlarının (“CL-STA-240 Bulaşıcı Görüşme kampanyası” olarak takip edilen) teknoloji endüstrisinde iş arayanları karmaşık “sosyal mühendislik” saldırılarıyla hedef aldığını buldu.

Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free

Tehdit aktörleri, iki temel kötü amaçlı yazılım türünü dağıtmak için “sahte çevrimiçi görüşmeler” gerçekleştirerek “LinkedIn” gibi profesyonel platformlarda işe alım uzmanı kılığına giriyor:

X’te sahte bir işe alım uzmanı (Kaynak – Palo Alto Networks)
  • BeaverTail indiricisi
  • Görünmez Gelincik arka kapısı

BeaverTail’in en son sürümü, platformlar arası uyumluluk için “Qt çerçevesi” kullanılarak geliştirildi.

Bu varyant, “MiroTalk” ve “FreeConference” gibi yasal uygulamalar gibi görünerek hem Windows (“.msi dosyaları”) hem de macOS (“.dmg dosyaları”) işletim sistemini hedefler.

Bunun yanı sıra, özellikle 95.164.17 IP adresini kullanarak ‘tarayıcı şifresi hırsızlığı’, ‘kripto para cüzdanı hedefleme’ (9 ila 13 farklı cüzdan uzantısına genişleme) ve ‘C2 sunucuları üzerinden veri sızdırma’ gibi gelişmiş yeteneklere sahiptir.[.]1224 numaralı bağlantı noktasında 24.

Başarılı bir bulaşmanın ardından BeaverTail, InvisibleFerret arka kapısını dağıtmak için Python programlamayı yükler. Bu, kurbanlara sahte bir GUI sunarak gizlice çalışarak saldırıyı birden fazla platformda zorlaştırıyor.

“InvisibleFerret” Python arka kapısı, birbirine bağlı üç bileşenden oluşan gelişmiş bir kötü amaçlı yazılım mimarisidir.

Aşağıda, bu üç “birbirine bağlı bileşenden” bahsettik: –

  • Ek yükleri alarak bulaşmayı belirleyen bir ilk indirme modülü.
  • Gelişmiş yeteneklerle (“uç nokta parmak izi alma”, “uzaktan sistem kontrolü”, “keylogging işlevselliği”, “hassas dosya sızması” ve “gelişmiş uzaktan erişim için isteğe bağlı AnyDesk istemci dağıtımı”) donatılmış birincil bir yük bileşeni.
  • Tarayıcı kimlik bilgilerini ve ödeme kartı bilgilerini toplamak için tasarlanmış özel bir tarayıcı hırsızı bileşeni.
InvisibleFerret bileşenleri (Kaynak – Palo Alto Networks)

Bu kötü amaçlı yazılım, “ssh_cmd işlevi” ve “ss_ufind alt komutunda” kod iyileştirmeleri gösteren birden fazla sürümle gelişti.

Bu iyileştirmeler artık optimize edilmiş dosya deseni araması için “Windows findstr” ve “macOS bulma komutlarını” kullanıyor.

Bu kötü amaçlı yazılım seti, kapsamlı yetenekleri ve güvenliği ihlal edilen kuruluşlar içinde yanal hareket potansiyeli nedeniyle hem bireysel kullanıcılar hem de kurumsal ağlar için önemli riskler oluşturur.

How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)



Source link